AIゲートウェイ「LiteLLM」に緊急事態：認証回避と連鎖しCVSS 10.0の未認証RCEが実環境で悪用中

これらのエンドポイントは、MCPサーバーを起動するために必要なCmd（コマンド）、args（引数）、env（環境変数）といったフィールドを含む完全なサーバー設定を、リクエストボディのJSONで受け付けます 。認証されたユーザーがこれらのエンドポイントを呼び出すと、LiteLLMは受け取ったCmdの値を、ホストマシン上でLiteLLMプロキシプロセスと同じ権限でサブプロセスとして実行してしまいます 。

当初、BerriAI社はこれを「認証が必要なリモートコード実行（RCE）」の脆弱性として公開しました。つまり、有効なAPIキーさえあれば、低権限の内部ユーザーであってもホスト上で任意のOSコマンドを実行できたのです 。しかし、この話はこれで終わりませんでした。

認証の壁を取り払う「Starlette BadHost」バイパス

第二の脆弱性は、CVE-2026-48710、通称「BadHost」です。これは、FastAPIやvLLM、その他数千ものPythonウェブアプリケーションの基盤となっている軽量ASGIフレームワーク「Starlette」のHostヘッダー検証に存在する欠陥で、バージョン0.8.3から1.0.0までが影響を受けます 。

根本原因は、HTTPリクエストの経路を処理する「ルーティング層」と、アプリケーションが利用するURLを再構築する「URL再構築コード」との間にある「パーサーの不一致」です 。ASGIのルーティング層は、リクエストの生のHTTPパスに基づいて、どのエンドポイントがリクエストを処理するかを決定します。一方、認証ミドルウェアなどが参照するrequest.urlは、Hostヘッダーの値をそのままリクエストパスと連結して再構築されており、適切な検証が行われていませんでした 。

攻撃者は、HTTPのHostヘッダーに?や#などのURI区切り文字を注入することで、request.url.pathを実際のリクエストパスと異なるものに見せかけることが可能になります 。これにより、認証ミドルウェアはリクエストを/のような認証不要の安全なパスと誤認する一方、ASGIルーターは裏で本来の危険なエンドポイントへリクエストを転送してしまいます 。

連鎖が生み出す最悪のシナリオ：CVSS 8.7から10.0へ

LiteLLMの認証デコレーターは、request.url.pathを見てAPIキーの必要性を判断します。BadHostバイパスを悪用すると、攻撃者は認証ミドルウェアに無害なパスを見せつつ、ASGIルーターにLiteLLMの脆弱なMCPコマンドインジェクション・エンドポイントへリクエストを配送させることが可能になります 。

これにより、インターネット越しの攻撃と任意のOSコマンド実行を隔てていた唯一のアクセス制御の壁が完全に取り除かれます。資格情報もネットワークへの事前アクセスも一切持たない攻撃者が、細工したHTTPリクエストを1つ送信するだけで、LiteLLMプロキシホスト上でOSコマンドを実行できるのです 。Horizon3.aiはこの完全な連鎖が機能することを確認し、認証なしのリモートコード実行が可能であることから、最大深刻度のCVSS 10.0と評価しました 。

攻撃が成功した場合のリスク

脆弱性の悪用に成功すると、攻撃者はLiteLLMプロキシプロセスの権限でコマンドを実行できるようになります。その後の脅威は急速に拡大します。

• 任意のコマンド実行: 攻撃者はバックドア、マルウェア、暗号通貨発掘ツールなど、ホストプロセスの権限で許容されるあらゆるソフトウェアをインストール可能です 。
• 保存された資格情報の大規模窃取: LiteLLMプロキシは、OpenAI、Anthropic、Azure、AWS Bedrock、Googleなど、接続された数十ものLLMプロバイダーのAPIキーをデータベースや環境変数に保存しています 。この脆弱性により、保存された全ての資格情報を一度の操作で外部に持ち出すことが可能になります。
• AIインフラ全体への横展開: 盗み出したクラウドAPIキーとプロキシホストへのシェルアクセスを足掛かりに、攻撃者は接続されたクラウドサービス、内部MCPサーバー、ベクターデータベース、さらには下流のAIエージェントフレームワークへと侵入範囲を拡大できます 。
• より広範なエコシステムへの影響: StarletteのBadHost脆弱性は、FastAPIアプリケーションやvLLMサーバー、MCPサーバー、AIエージェントフレームワークなど、依存関係にある40万以上のプロジェクトに影響を及ぼします。Starletteのバージョン1.0.1より前を利用し、パスベースの認証ミドルウェアに依存しているこれらすべてのシステムが、同様の認証バイパスのリスクに晒されています 。

CISAの対応が示す緊急性

CISAが2026年6月8日にCVE-2026-42271をKEVカタログに追加したことは、この脆弱性がもはや理論上の脅威ではないことを明確に示しています。攻撃者は現在、実際にこの脆弱性を武器化し、悪用しています 。連邦政府の指令（Binding Operational Directive 22-01）により、米国のすべての連邦行政機関は、KEVに登録された脆弱性に対し、定められた期限内の修正が義務付けられています。CISAはまた、官民を問わずすべての組織に対し、KEVへの追加を緊急パッチ適用の最優先事項として扱うよう強く推奨しています 。

いますぐ実施すべき緊急対策

この連鎖攻撃への対策は、2つのコンポーネントの更新に加え、すでに侵害されている可能性を前提とした多層的な防御策が必要です。

1. LiteLLMをバージョン1.83.7以降にアップグレードする。 このリリースでは、MCPテスト用エンドポイントがユーザーから提供されたコマンドを直接実行する機能が削除され、コマンドインジェクションの根本原因が解消されています 。
2. Starletteをバージョン1.0.1以降にアップグレードする。 修正パッチでは、受信したHostヘッダーをURL仕様に照らして検証し、不正な文字を含むヘッダーを無視するようになり、認証バイパスの原因となるパス混乱の手法を防ぎます 。
3. 保存されているすべての資格情報を直ちにローテーションする。 LiteLLMプロキシがこれまでに保存した、またはアクセスした可能性のあるすべてのAPIキー、アクセストークン、データベース資格情報は、すでに漏洩したものと想定してください。OpenAI、Anthropic、Azure、AWSなどのすべてのプロバイダーキーを新しいものに交換し、各サービスの利用明細で不正利用がないか確認してください 。
4. リバースプロキシやWAFで問題のエンドポイントを遮断する。 パッチ適用が完了するまでの防御層として、リバースプロキシやWebアプリケーションファイアウォール（WAF）で

   POST /mcp-rest/test/connection

   と

   POST /mcp-rest/test/tools/list

   へのリクエストをアプリケーションに到達する前にブロックするよう設定してください 。
5. 過去の不正アクセスの痕跡を監査する。 LiteLLMプロキシのログを確認し、MCPテスト用エンドポイントに対する不審なアクティビティ、特に予期しないIPアドレスからのリクエストや、改ざんされたHostヘッダーを含むリクエストがないか調査してください 。

CVSS 10.0という最大の深刻度、実環境での活発な悪用、そしてCISAによるKEV指定という状況を鑑みれば、LiteLLMまたはStarletteを利用したサービスを運用するすべての組織は、この事態を「緊急パッチ適用と資格情報の全面リセット」が必要な最重要インシデントとして対処する必要があります。悪用と情報窃取のタイムリミットは、すでに目前に迫っています。